Latest News

Amankan Website Wordpressmu Dari Hacker Aka Lamers [ Tutorial 1 ]

Haii sobat, kali ini gw akan share cara mengamankan sebuah website berbasis CMS ( content Management System ) Wordpress, kenapa wordpress yaa?karena emang cms itu yang paling sering dipake dan sering jadi korban para lamer hehehe :)
Nah biasanya seorang attacker atau orang jahil yang akan disebut lamers jika sudah memasuki sebuah website baik dengan cara mencari config maupun bruteforce ataupun dari dork,sqli,dll yang banyak bertebaran digoogle, dia akan menanam sebuah shell ataupun backdoor untuk mengolah lebih jauh website targetnya,untuk contoh shell bisa dilihat disini atau disini biasanya dengan menggunakan cara seperti ini :
  1. Masuk ke website target melalui admin page, setelah berhasil masuk
  2. Pilih menu Appereance pilih editor – ( theme-editor.php )
  3. Pilih 404.php atau yang lainnya, copy kan script shell sobat di 404.php
  4. Terus klik Update file ( untuk menyimpan shell kita ke website target )
  5. Shell telah tersimpan di website target, saatnya di panggil
  6. Webku.com/wp-content/themes/theme_yang_aktif/404.php
Dari langkah langkah menanam shell di atas, kita dapat mengambil kesimpulan bahwa, shell dapat tersimpan di website target apabila menu editor aktif pada wordpress kita. sehingga mengizinkan si attacker menanam shell ataupun merubah file pada wordpress kita.
Amankan Website Wordpressmu Dari Hacker Aka Lamers [ Tutorial 1 ]
Nah sekarang kita ambil kesimpulan bahwa solusi dari kasus di atas adalah mendisable kan atau menonaktifkan dari menu editor di atas, agar si attacker tidak bisa menanam shell atau merubah file pada wordpress kita.

Amankan Website Wordpressmu Dari Hacker Aka Lamers [ Tutorial 1 ]
Adapun langkah langkah nya adalah sebagai berikut :
  1. Masuk ke Cpanel wordpress sobat
  2. Masuk “File Manager“
  3. Public_Html – wp-config.php
  4. Klik edit, tambahkan file ini di wp-config.php
define(‘DISALLOW_FILE_MODS’,true);
Saran saya di bawah tulisan ini “  define(‘DB_USER’, ‘username_here’);  “
Trus klik save change , pasti tidak bisa kan, ini karena chmod dari file wp-config.php sobat masih 400, rubah dulu chmod nya ke 0644, setelah chmod di rubah ke 0644, mari kita coba simpan kembali, klik save change, setelah berhasil tersimpan, jangan lupa mengembalikan chmod dari file wp-config.php sobat ke chmod 400 kembali.
Yang wajib sobat tahu tentang fungsi dari script di atas adalah,
Script di atas juga berfungsi untuk mendisble –à mengganti theme, upload theme, semua yang berhubungan dengan thema wordpress di non aktifkan, jadi, bagi sobat yang ingin mengganti theme pada wordpress, harus menghapus script ini dulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah theme wordpress selesai di ganti, jangan lupa menambahkan script itu kembali di wp-config.php dan merubah kembali chmod wp-config.php nya ke 400 ( wajib di ingat langkah langkahnya ). Kalau tidak ya jadi mangsa empuk hehe
Script di atas juga berfungsi untuk mendisble –à add new plugin, ini dilakukan untuk mengantisipasi agar attacker tidak bisa menanam shell di wordpress kita melalui plugin. Bagi sobat yang ingin menambah plugin pada wordpressnya, bisa mengikuti langkah langkah yang sama dengan mengganti theme di wordpress, harus menghapus script tersebut  terlebih dahulu di wp-config.php sobat. Sebelumnya rubah dulu chmod wp-config.php nya ke chmod 0644, setelah itu baru di hapus scriptnya – save – baru bisa add new plugin di wordpress, dan jangan lupa merubah kembali chmod wp-config.php nya ke 400. Ribet banget ya, he he he, ini juga biar wordpress kita aman dari tanggan attacker yang tidak bertanggung jawab.

Saran tambahan dari gw sebaiknya sobat merubah juga chmod semua file theme yang berada di theme-editor.php dari chmod 0644 ke chmod 0444 melalui cpanel sobat. Ini berguna agar file yang berada pada theme-editor.php tidak dapat di rubah. Lihat gambar di atas

Nah Sebenernya cara ini masih bisa diatasi oleh para attacker aka lamers dengan cara memainkan js overlay, uups tapi tenang kebanyakan para lamers tidak mengetahui cara menggunakan js overlay, lagipula kebanyakan lamers tidak mau repot-repot, kalau gak bisa ya paling ditinggalin sama dia hahaha

Salam Ganteng muehehehe
Thanks Banyak Buat Om Panji
Post a Comment